Android.Enesoluty を運用している犯人グループは、アプリサイトのホスティングに使うドメインを 100 以上も登録したり、それらのドメインからスパムを送信したりと、昨年の夏以来、活発な活動を見せています。このグループは、現在もマルウェアの亜種の開発に余念がないようです。数日前に、シマンテックは Android.Enesoluty の新しい亜種を発見しました。
これまでの亜種と同様に、アプリページへのリンクが掲載されたスパムが、何も知らないユーザーに送りつけられています。
図 1. 無防備なユーザーをアプリページに誘導するスパム
アプリページに新しく登録された悪質なアプリは「Lime Pop」という名前で、偶然にも(とは言いがたいかもしれませんが)、ある大人気のゲームアプリと名前が酷似しています。ページの最後に利用規約へのリンクが表示される点も従来の亜種と同じです。このアプリはデバイスから個人情報をアップロードするという説明が書かれていますが、こうした利用規約が掲載されているのは、法律上の抜け道を作る目的と思われます。
図 2. 利用規約へのリンクがあるアプリページ
Android.Enesoluty の新しい亜種とは言っても、以前の亜種と異なるのはマルウェアの外見的な変化だけです。以前の亜種はバッテリ節約アプリや電波改善アプリ、セキュリティアプリを装っていましたが、今回は GUI を一新し、ゲームのように見せかけています。このアプリを起動すると、ゲームサーバーへの接続を試行中であるというメッセージが表示されますが、次の瞬間には「通信状況を確認してください」という指示に変わります。この時点ではもう、連絡先のデータが詐欺グループのサーバーにアップロードされています。
図 3. 最新の亜種で使われているスキン
ソースコードは他の亜種とほとんど同じですが、新しい機能や機能強化が追加されています。
この詐欺の標的は日本のユーザーにほぼ限定されていますが、それでもやはり、言語を問わず Android ユーザーは全員この手の詐欺に警戒する必要があります。このブログですでにおわかりのように、目新しい手口は何も使われていません。毎度おなじみの作戦で、ただ新しい武器がひとつ増えたにすぎません。アプリを探すときには、必ず信頼できるサイトからダウンロードするようにしてください。また、アプリのダウンロードを誘う電子メールや SMS メッセージのリンクをタップする前に、一度立ち止まって再考しましょう。ノートン モバイルセキュリティや Symantec Mobile Security などのセキュリティアプリをデバイスにインストールすることも有効です。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。